Ankündigung

Einklappen
Keine Ankündigung bisher.

Sicherheit - Formulardaten entgegennehmen

Einklappen

Neue Werbung 2019

Einklappen
X
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • Sicherheit - Formulardaten entgegennehmen

    Hi,
    Wenn ich Daten aus einem Formular entgegennehme muss ich ja damit rechnen das jemand versucht mich anzugreifen.

    Zur Zeit prüfe ich
    1. ob die Variable vorhanden ist
    2. ob der Datentyp dem Erwarteten entspricht

    Ich habe begonnen mir eine kleine Bibliothek zu schreiben die diese Aufgaben (fast komplett) automatisch übernimmt.

    Ich schätze der nächste Schritt wäre die Länge zu überprüfen, und anschließend zur Sicherheit fremden Code herauszufiltern. Ich bin mir nicht sicher welches da der beste Weg wäre..

    Ist das so praktikabel oder mach ich mir da zuviel Aufwand?
    Wie weit sichert ihr eure Scripte ab? Gibt es (kleine) OpenSource-Bibliotheken speziell für den Bereich die ihr empfehlen könnt?


  • #2
    Das kommt doch ganz auf den Anwendungszweck an!
    "Dummheit redet viel..Klugheit denkt und schweigt.." [Amgervinus]

    Kommentar


    • #3
      Aber man wird doch nicht jedes mal alles neu schreiben, oder?
      Die Bibliothek die ich schreibe verwendet zur Zeit noch Konstanten um
      auf eine bestimmte Art von Variable zu testen.
      In Zukunft werd ich das wohl mit Flags lösen, weil sich die Aufgaben ja doch überschneiden:
      Also als Argument dann beispielsweise:

      PHP-Code:
      foo($postvariableREM_EMPTY IS_ARRAY)
      //Ein Array, bei dem leere Elemente entfernt werden. 

      foo($postvariable2NO_EMPTY IS_STRING TRIMM)
      //Eine nicht leere Zeichenkette 
      (Die Bezeichner sind nur Beispielhaft..)

      So weit bin ich aber noch nicht. Vielleicht hat auch jemand nen Tipp zu ner Beschreibung welche die Sicherheitsfragen etwas tiefgründiger erklärt, speziell was übergebene Daten angeht?

      Kommentar


      • #4
        Wie gesagt... kommt auf den Anwendungszweck an...

        ggf.

        [MAN]htmlspecialchars[/MAN]
        [MAN]mysql_real_escape_string[/MAN]
        [MAN]strlen[/MAN]
        [MAN]filter_var[/MAN]
        [MAN]preg_match[/MAN]
        [MAN]strstr[/MAN]
        [MAN]strpos[/MAN]

        um nur ein paar zu nennen.
        cu
        Grüße
        Destruction
        "Dummheit redet viel..Klugheit denkt und schweigt.." [Amgervinus]

        Kommentar


        • #5
          „Sicherheit ist kein Zustand, sondern ein Prozess.“ Ich weiß nicht mehr, wo das Zitat her stammt - aber es stimmt jedenfalls.

          Im Bereich der Webanwendungen sind die häufigsten Sicherheitslücken immer noch das Resultat nicht beachteter Kontextwechsel - also Artikel:Kontextwechsel – SELFHTML mal lesen, danach sollte schon einiges klar(er) sein.

          Von irgendwelchen Eierlegenden Wollmilchsäuen in Sachen Sicherheit ist m.E. Abstand zu halten. Irgendwelche „sanitize“-Funktionen, die am Scriptanfang aufgerufen werden, und dann von einem halbseitigen Eingabtext nur noch drei Buchstaben „xyz“ übrig lassen, weil ihnen nur die „ungefährlich“ erscheinen - sowas ist Bullshit. Und wenn der Rest spitze Klammern, Anführungszeichen, sonstwas waren - dann werden die eben entsprechend behandelt, dass sie auch als solche Zeichen dargestellt werden, und gut is'.

          Wenn du dir angewöhnst, dir immer klar zu machen, in welchen neuen Kontext Daten gerade gebracht werden sollen, und sie auch (erst) an dieser Stelle im Script entsprechend behandelst - dann bist du schon ein sehr gutes Stück weit auf der „sicheren Seite“.

          Kommentar


          • #6
            Hauptseite - PHP.de Wiki
            --

            „Emoticons machen einen Beitrag etwas freundlicher. Deine wirken zwar fachlich richtig sein, aber meist ziemlich uninteressant.
            Wenn man nur Text sieht, haben viele junge Entwickler keine interesse, diese stumpfen Texte zu lesen.“


            --

            Kommentar

            Lädt...
            X